我收到了强化报告,其中显示了下面第2行的XSS反射缺陷。
字符串名称=request.getParameter("名称");
response.getWriter().write("名称:"+名称);
建议:所有显示给web客户端的用户输入都应该经过HTML编码和验证。这是java代码,我不确定如何修复它。
一种简单的方法,您只需使用OWASP Enterprise Security API(Java Edition):
String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );
查看这些链接:
OWASP Enterprise Security API(Java版)文档
OWASP Enterprise Security API(Java版)代码示例